“允许通过远程桌面服务登录”用户权限无效
suc*_*rab 5 group-policy windows-10
我正在尝试允许域安全组的成员GlobalRDPRDP 进入某些 Windows 10 PC。我授予该GlobalRDP组“允许通过远程桌面服务登录”权限,并且该策略已成功部署到目标计算机。
尽管如此,每当该GlobalRDP组的成员尝试通过 RDP 登录时,他们都会收到以下错误:“连接被拒绝,因为用户帐户未获得远程登录授权”。类似的访问被拒绝错误出现在 RDP 日志“用户未被授予访问此连接的权限”中,位于 CUMRDPSecurityStreamCallback::AccessCheck at 5236 err=[0x80070005]”。
是什么让事情离奇的是,我还删除了RDP正确的Administrators,并Remote Desktop Users具有在默认情况下此权限组,我仍然能够在RDP作为本地的成员Remote Desktop Users组。
最后,我更改了我的 GPO 以将该GlobalRDP组添加到Remote Desktop Users目标 PC的本地组中,并且 RDP 起作用了。尽管这个本地组仍然没有被授予 RDP 登录权限!
这是 Windows 10 工作站的设置屏幕:
要解决类似线程中提供的修复程序:
GPO 绝对适用于目标计算机。查看
Local Security Policy -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Allow log on through Remote Desktop Services仅显示GlobalRDP组和通过 GPO 设置的策略。组策略结果向导显示相同的内容。Deny log on through Remote Desktop Services为空(默认为空)
似乎无论我更改什么,只有默认组被授予 RDP 登录权限。将域全局组添加到每台 PC 上的本地组可以正常工作,但对我来说很奇怪。我错过了什么?为什么我不能简单地使用域组管理该权限?
建立远程桌面会话的权限和使用远程桌面会话时登录的权限是两个不同的东西。用户权限分配设置仅影响后者。
Microsoft 确实提供了有关更改控制谁可以建立远程桌面会话的权限的文档:
但是,我强烈建议您不要弄乱这些设置。正如托德的回答已经提到的,将域用户和/或组添加到远程桌面用户本地组是授予远程桌面访问权限的受支持方法。
(顺便说一句,您还需要“从网络访问这台计算机”权限才能建立连接。)
| 归档时间: |
|
| 查看次数: |
12912 次 |
| 最近记录: |